מתבצע איפוס של סיסמאות Edge

Edge for Private Cloud v4.18.05

אחרי שההתקנה תושלם, תוכלי לאפס את הסיסמאות של OpenLDAP, Apigee Edge, משתמש הארגון ב-Edge ואת הסיסמאות של Cassandra.

איפוס הסיסמה של OpenLDAP

בהתאם להגדרות שקבעת ב-Edge, ניתן להתקין את OpenLDAP בתור:

• מופע יחיד של OpenLDAP מותקן בצומת שרת הניהול. לדוגמה, בתצורה של 2 צמתים, 5 צמתים או 9 צמתים.
• מספר מכונות OpenLDAP שהותקנו בצמתים של שרת הניהול, שהוגדרו באמצעות שכפול OpenLDAP. לדוגמה, בתצורת Edge עם 12 צמתים.
• כמה מכונות OpenLDAP שהותקנו בצמתים שלהן, שהוגדרו באמצעות שכפול OpenLDAP. לדוגמה, בתצורת Edge עם 13 צמתים.

איפוס הסיסמה ל-OpenLDAP משתנה בהתאם להגדרה.

במופע יחיד של OpenLDAP שמותקן בשרת הניהול, מבצעים את הפעולות הבאות:

1. בצומת של שרת הניהול, מריצים את הפקודה הבאה כדי ליצור את הסיסמה החדשה ל-OpenLDAP:

   /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o OLD_PASSWORD -n NEW_PASSWORD

2. מריצים את הפקודה הבאה כדי לאחסן את הסיסמה החדשה לגישה דרך שרת הניהול:

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p NEW_PASSWORD

   פקודה זו מפעילה מחדש את שרת הניהול.

בהגדרת רפליקות של OpenLDAP כשמתקינים את OpenLDAP בצמתים של שרת הניהול, צריך לבצע את ההוראות שלמעלה בשני הצמתים של שרת הניהול כדי לעדכן את הסיסמה.

במסגרת הגדרת שכפול OpenLDAP כאשר OpenLDAP נמצא בצומת שאינו שרת הניהול, חשוב להקפיד לשנות קודם את הסיסמה בשני הצמתים של OpenLDAP ואז בשני הצמתים של שרת הניהול.

איפוס הסיסמה של אדמין המערכת

איפוס הסיסמה של מנהל המערכת מחייב לאפס את הסיסמה בשני מקומות:

• שרת ניהול
• UI

כדי לאפס את הסיסמה של מנהל המערכת:

1. בצומת ממשק המשתמש, מפסיקים את ממשק המשתמש של Edge:

   /opt/apigee/apigee-service/bin/apigee-service edge-ui stop

2. בשרת הניהול, מריצים את הפקודה הבאה כדי לאפס את הסיסמה:
   

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW

3. עורכים את קובץ התצורה השקט שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge כדי להגדיר את המאפיינים הבאים:

   APIGEE_ADMINPW=NEW_PASSWORD
   SMTPHOST=smtp.gmail.com
   SMTPPORT=465
   SMTPUSER=foo@gmail.com
   SMTPPASSWORD=bar
   SMTPSSL=y
   SMTPMAILFROM="My Company <myco@company.com>"

   שימו לב שצריך לכלול את מאפייני ה-SMTP כשמעבירים את הסיסמה החדשה, כי כל המאפיינים בממשק המשתמש מתאפסים.

4. השתמש בכלי העזר apigee-setup כדי לאפס את הסיסמה בממשק המשתמש של Edge מקובץ התצורה:

   /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile

5. (רק אם TLS מופעל בממשק המשתמש) הפעל מחדש את ה-TLS בממשק המשתמש של Edge כפי שמתואר בהגדרת TLS עבור ממשק המשתמש לניהול.

בסביבה של יצירת רפליקציית OpenLDAP עם כמה שרתי ניהול, איפוס הסיסמה בשרת ניהול אחד יוביל לעדכון אוטומטי של שרת הניהול השני. עם זאת, צריך לעדכן את כל הצמתים של ממשק המשתמש של Edge בנפרד.

איפוס סיסמת המשתמש בארגון

כדי לאפס את הסיסמה של משתמש בארגון, צריך להשתמש בכלי השירות apigee-service כדי להפעיל את apigee-setup:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
  [-h]
  [-u USER_EMAIL]
  [-p USER_PWD]
  [-a ADMIN_EMAIL]
  [-P APIGEE_ADMINPW]
  [-f configFile]

למשל:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p Foo12345 -a admin@myCo.com -P adminPword

למטה מוצג קובץ תצורה לדוגמה שבו ניתן להשתמש עם האפשרות " -f":

USER_NAME= user@myCo.com
USER_PWD="Foo12345"
APIGEE_ADMINPW=ADMIN_PASSWORD

אפשר גם להשתמש ב-Update user API כדי לשנות את הסיסמה של המשתמש.

כללים לסיסמאות משתמשים ב-SysAdmin ובארגון

בקטע הזה אפשר לאכוף את הרמה הרצויה של אורך וחוזק הסיסמה עבור המשתמשים בניהול ה-API. ההגדרות משתמשות בסדרה של ביטויים רגולריים שהוגדרו מראש (עם מספרים ייחודיים) כדי לבדוק את תוכן הסיסמה (כמו אותיות רישיות, קטנות, מספרים ותווים מיוחדים). כותבים את ההגדרות האלה בקובץ /opt/apigee/customer/application/management-server.properties. אם הקובץ לא קיים, יוצרים אותו.

לאחר העריכה של management-server.properties, יש להפעיל מחדש את שרת הניהול:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

לאחר מכן אפשר להגדיר דירוגים של חוזק הסיסמה על ידי קיבוץ שילובים שונים של ביטויים רגולריים. לדוגמה, אפשר לקבוע שסיסמה שיש בה לפחות אות גדולה אחת ואות קטנה אחת מקבלת דירוג חוזק של 3, אבל סיסמה שיש בה לפחות אות קטנה אחת ומספר אחד מקבלת דירוג גבוה יותר של 4.

conf_security_password.validation.minimum.password.length=8
conf_security_password.validation.default.rating=2
conf_security_password.validation.minimum.rating.required=3

conf_security_password.validation.regex.1=^(.)\\1+$

conf_security_password.validation.regex.2=^.*[a-z]+.*$

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

conf_security_password.validation.regex.4=^.*[0-9]+.*$

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

conf_security_password.validation.regex.6=^.*[_]+.*$

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

conf_security_password.validation.rule.1=1,AND,0
conf_security_password.validation.rule.2=2,3,4,AND,4
conf_security_password.validation.rule.3=2,9,AND,4
conf_security_password.validation.rule.4=3,9,AND,4
conf_security_password.validation.rule.5=5,6,OR,4
conf_security_password.validation.rule.6=3,2,AND,3
conf_security_password.validation.rule.7=2,9,AND,3
conf_security_password.validation.rule.8=3,9,AND,3

regex-index-list,[AND|OR],rating

conf_security_rbac.password.validation.enabled=true

איפוס הסיסמה של Cassandra

כברירת מחדל, Cassandra שולחת מוצרים כשהאימות מושבת. אם מפעילים את האימות, הוא משתמש במשתמש שהוגדר מראש בשם "cassandra", עם הסיסמה "cassandra". אפשר להשתמש בחשבון הזה, להגדיר סיסמה אחרת לחשבון הזה או ליצור משתמש חדש ב-Cassandra. אפשר להוסיף, להסיר ולשנות משתמשים באמצעות ההצהרות של CREATE/ALTER/DROP USER של Cassandra.

מידע על הפעלת האימות של Cassandra זמין במאמר הפעלת אימות של Cassandra.

כדי לאפס את הסיסמה של Cassandra, צריך:

• הגדרת הסיסמה לכל צומת של Cassandra, והיא תשודר לכל צומתי Cassandra בטבעת
• יש לעדכן את הסיסמה החדשה בכל צומת: שרת הניהול, מעבדי הודעות, נתבים, שרתי Qpid ושרתי Postgres

מידע נוסף זמין בכתובת http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

כדי לאפס את הסיסמה של Cassandra:

1. מתחברים לכל צומת של Cassandra באמצעות הכלי cqlsh ופרטי הכניסה שמוגדרים כברירת מחדל. צריך לשנות רק את הסיסמה בצומת Cassandra אחת, והיא תשודר לכל צומתי Cassandra בטבעת:

   /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

   כאשר:

   • cassIP היא כתובת ה-IP של הצומת של Cassandra.
   • 9042 הוא נמל קסנדרה.
   • משתמש ברירת המחדל הוא cassandra.
   • סיסמת ברירת המחדל היא cassandra. אם שינית את הסיסמה בעבר, עליך להשתמש בסיסמה הנוכחית.
2. מריצים את הפקודה הבאה בתור ההודעה cqlsh> כדי לעדכן את הסיסמה:

   ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

   אם הסיסמה החדשה מכילה תו גרש יחיד, יש לסמן אותה בתו בריחה (escape) לפניה בתו גרש יחיד.

3. יוצאים מהכלי cqlsh:

   exit

4. בצומת של שרת הניהול, מריצים את הפקודה הבאה:

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

   אתם יכולים גם להעביר קובץ לפקודה שמכילה את שם המשתמש והסיסמה החדשים:

   apigee-service edge-management-server store_cassandra_credentials -f configFile

   כאשר configFile מכיל את:

   CASS_USERNAME=CASS_USERNAME
   CASS_PASSWORD=CASS_PASSWROD

   פקודה זו מפעילה מחדש באופן אוטומטי את שרת הניהול.

5. חוזרים על שלב 4:
   • כל מעבדי ההודעות
   • כל הנתבים
   • כל שרתי Qpid (edge-qpid-server)
   • שרתי Postgres (edge-postgres-server)

הסיסמה של Cassandra שונתה.

איפוס הסיסמה של PostgreSQL

כברירת מחדל, במסד הנתונים של PostgreSQL מוגדרים שני משתמשים: 'postgres' ו-'apigee'. לשני המשתמשים יש סיסמת ברירת מחדל "postgres". כדי לשנות את סיסמת ברירת המחדל, מבצעים את הפעולות הבאות.

שינוי הסיסמה בכל הצמתים הראשיים של Postgres. אם יש לך שני שרתי Postgres שהוגדרו במצב המתנה/מאסטר, עליך לשנות את הסיסמה רק בצומת הראשי. מידע נוסף מופיע במאמר הגדרה של רפליקציית Master-Standby ל-Postgres.

1. בצומת Master Postgres, משנים את הספריות ל-/opt/apigee/apigee-postgresql/pgsql/bin.
2. מגדירים את סיסמת המשתמש PostgreSQL מסוג 'postgres':
   1. מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:

      psql -h localhost -d apigee -U postgres

   2. כשתוצג בקשה, מזינים את סיסמת המשתמש Postgres כ-"postgres".
   3. בשורת הפקודה של PostgreSQL, מזינים את הפקודה הבאה כדי לשנות את סיסמת ברירת המחדל:

      ALTER USER postgres WITH PASSWORD 'apigee1234';

   4. יוצאים ממסד הנתונים של PostgreSQL באמצעות הפקודה:

      \q

3. מגדירים את סיסמת המשתמש 'apigee' ב-PostgreSQL:
   1. מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:

      psql -h localhost -d apigee -U apigee

   2. כשתוצג הבקשה, יש להזין את סיסמת המשתמש "apigee" בתור "postgres".
   3. בשורת הפקודה של PostgreSQL, מזינים את הפקודה הבאה כדי לשנות את סיסמת ברירת המחדל:

      ALTER USER apigee WITH PASSWORD 'NEW_PASSWORD';

   4. יוצאים ממסד הנתונים של PostgreSQL באמצעות הפקודה:

      \q

4. הגדרה של APIGEE_HOME:

   export APIGEE_HOME=/opt/apigee/edge-postgres-server

5. הצפנת הסיסמה החדשה:

   sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

   הפקודה הזאת מחזירה את הסיסמה המוצפנת כפי שמוצג בהמשך. הסיסמה המוצפנת מתחילה אחרי התו ":" ולא כוללת את ":".

   Encrypted string:WheaR8U4OeMEM11erxA3Cw==

6. מעדכנים בצומת של שרת הניהול את הסיסמאות המוצפנות החדשות למשתמשי 'postgres' ו-'apigee'.
   1. בשרת הניהול, משנים את הספרייה ל-/opt/apigee/customer/application.
   2. עורכים את הקובץ management-server.properties כדי להגדיר את המאפיינים הבאים. אם הקובץ לא קיים, יוצרים אותו.
   3. מוודאים שהקובץ נמצא בבעלות משתמש ה-API:

      chown apigee:apigee management-server.properties

7. עדכן את כל הצמתים של שרת Postgres ו-Qpid בסיסמה המוצפנת החדשה.
   1. בשרת Postgres או בצומת שרת ה-Qpid, משנים את הספרייה ל-/opt/apigee/customer/application.
   2. אפשר לערוך את הקבצים הבאים. אם הקבצים האלה לא קיימים, יוצרים אותם:
      • postgres-server.properties
      • qpid-server.properties
   3. מוסיפים את המאפיינים הבאים לקבצים:
   4. יש לוודא שהקבצים הם בבעלות משתמש ה-API:

      chown apigee:apigee postgres-server.properties
      chown apigee:apigee qpid-server.properties

8. מפעילים מחדש את הרכיבים הבאים לפי הסדר:
   1. מסד נתונים PostgreSQL:

      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart

   2. שרת Qpid:

      /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart

   3. שרת Postgres:

      /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart

   4. שרת הניהול:

      /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart